Démystifier le Data Analytics (4/4) : Intégrer le Data Analytics dans la Mission d’Audit
Dans les posts précédents, nous avons évoqué la problématique du data analytics pour l’audit interne, les critères d’un bon programme et l’utilisation du data analytics dans la phase d’évaluation du risque de l'organisation. Le présent article clôt la série consacrée à l’intégration du data analytics dans les processus d’audit. Ici, nous proposons une approche simplifiée en 5 étapes pour une application réussie du data analytics au cours de la mission d’audit ou de conseil.
1. Evaluer l’Opportunité du Data Analytics
Sans un objectif précis, l’opportunité de tirer avantage du data analytics au cours d’une mission d’audit peut être limitée. Une démarche efficace consiste à réunir autour d’une table les membres de l’équipe – y compris les experts en data analytics –, en vue d’une réflexion sur les opportunités qu’offre la discipline. Les questions que l’équipe peut se poser sont multiples. Dans la pratique et compte tenu des objectifs-clé de la mission, l’exercice consiste à identifier les 2 ou 3 hypothèses qui, correctement formulées et testées, peuvent générer un gain rapide à la mission. Par exemple :
- Les accès au programme informatique sont autorisés et contrôlés, pour une mission d’audit des accès à un système informatique ou un serveur critique.
- Tous les crédits octroyés au cours la période sous revue ont respecté les plafonds de crédit en cours, pour une mission d’audit du processus d’octroi de crédit.
Au cours de cette phase de brainstorming, l’utilisation d’un diagramme de circulation de l’information ou la représentation schématique des bases de données impliquées accélère la formulation des hypothèses opérationnelles et aide à anticiper sur les défis technologiques que ces hypothèses peuvent générer.
Un soin particulier doit être apporté à la documentation de cette phase. Les papiers de travail pourraient contenir l’objectif de l’audit, les hypothèses envisagées et leurs limites, les données requises et leurs sources, la nature des analyses à effectuer (profilage des données et test des contrôles-clé).
2. Obtenir les Données
Cette étape revêt un caractère capital car, dans l’absolu, l’on ne peut parler de data analytics sans l’existence de... données. Et plus précisément de données fiables. L’accès aux données peut être difficile, couteux, voire impossible. Notamment si elles sont classées sensibles par les directeurs opérationnels. Mais si ces derniers sont associés au développement du programme global de data analytics alors ils peuvent en voir les bienfaits et se montrer plus flexibles.
L’inhabilité de l’équipe à comprendre les données reçues ou auxquelles elle a accès peut aussi constituer un facteur d’échec. D’où l’importance de documenter les hypothèses et la nature des données requises à l’étape précédente.
Une fois acquises, les auditeurs devraient assurer la sécurité des données.
3. Normaliser les Données
Normaliser les données consiste à formater, traiter les données reçues afin de les rendre utilisables, compte tenu des objectifs de la mission et des hypothèses à tester. En général, si la gouvernance relative à la gestion des données de l’entreprise est effective, le risque de données incorrectes ou incohérentes est limité. L’étape de normalisation des données doit être traitée avec minutie car de son résultat dépend la crédibilité de la démarche analytique et des résultats obtenus. Mais la plupart des logiciels modernes de data analytics permettent de résoudre certains défis qui, il y a peu de temps encore, pouvaient paraître insurmontables.
4. Analyser les Données et Interpréter les Résultats
Si l’étape précédente est bien exécutée, la présente phase, grâce aux logiciels d’analyse de données, requiert moins de temps. La production résultats analytiques n’est pas une fin en soi car leur interprétation peut appeler de nouvelles hypothèses. Dans la pratique, cette étape est un processus itératif qui prend fin lorsque les auditeurs jugent qu’ils ont obtenu les conclusions analytiques suffisantes pour étayer leur point d’audit.
Faire le constat des anomalies, c’est bien. Mais en rechercher les causes est encore mieux. Par exemple si des exceptions sont notées dans l’accès au programme informatique critique, il y a lieu de rechercher les causes de cette défaillance (séparation de tâche, défaillance du contrôle-clé, etc.). Au moyen de données, l’analyse devrait, tant que faire se peut, essayer de distinguer les erreurs humaines des violations pures et simples des procédures opérationnelles (dépassement systématique des plafonds de crédit par un même responsable).
Une bonne pratique consiste à engager les responsables opérationnels dans la discussion pour une meilleure compréhension et interprétation des résultats du data analytics au fur et à mesure de leur production.
5. Communiquer les Résultats
Pour qu’ils soient efficaces et bénéficient d’une quelconque considération de la part du management, les résultats du data analytics doivent être simples, directs et compréhensibles des opérationnels. La créativité dans la présentation de ces résultats doit garder ces qualités à l’esprit. Par exemple, plutôt que de montrer un tableau avec les montants de crédits octroyés, les plafonds autorisés et les taux de dépassement, l’équipe d’audit peut présenter une visualisation intelligente qui se concentre sur l’essentiel. Par exemple, mettre en exergue la région ou localité à problème, souligner les causes du dépassement (absence de séparation des tâches), présenter les résultats d’une analyse croisée (niveau de crédit octroyé et montant des provisions pour créances douteuses par localité pour bien souligner la concentration du risque encouru).
*
* *
En résumé, adopter une approche systématique de l’intégration du data analytics à la mission peut générer un gain rapide, à condition que les principales difficultés (formulation des hypothèses, accès aux données, formatage des données, etc.) soient traitées. Dans la pratique la définition de la tactique analytique, l’obtention des données et leur formatage peut consommer jusqu’à 80% du budget imparti au volet data analytics de la mission. Ces activités devraient donc générer un retour sur investissement conséquent : la solidification des observations d’audit.
_______________________
Vous aimez l’article ?
Vous avez d'autres idées ?
Veuillez laisser un commentaire ci-dessous !
_______________________
Autres Articles Recommandés :
- Démystifier le Data Analytics (3/4) : Evaluation du Risque
- Démystifier le Data Analytics (2/4) : Comment Établir un Programme Efficace et Durable
- Démystifier le Data Analytics (1/4) : L’Enjeu pour l’Audit Interne
- Planification des Missions d'Audit Interne : 4 Bonnes Pratiques
- Le Plan Annuel de l’Audit Interne en 8 Etapes
- Budgeting for Data Analytics
A propos de l'auteur
Rigobert Pinga Pinga, CPA, CIA, CFE, CGMA, est Spécialiste de l’audit et Coordonnateur du data analytics au sein de la Vice-Présidence Audit Interne du Groupe de la Banque Mondiale basé à Washington, DC. Avant de rejoindre la Banque Mondiale, Rigo a été Directeur de Mission Audit chez Ernst & Young.
LinkedIn, Twitter.
Directeur Administratif et Financier chez UNICON DEVELOPMENT | Concepts Financiers, Comptabilité de Gestion
8yGhislaine, you can use tanagra.
Supply Chain Controller at Nestlé
8yThanks Rigobert for this interesting article. Please From your experience, which data analytics software could you recommend? thanks.
Auditeur junior chez Grant Thornton Cameroun
8ydear rigo i don't understand difference between third and fourth step when we treat data we don't analysis? i need the fundamental between these two steps! thx!
GOVERNANCE & BUSINESS LEADER
8yDear Rigo, once more you demonstrate state of art expertise in our profession ! I read your wonderful article " Budgeting for analytics " I am sure that you can add value to our efforts as a keynote speaker and as a trainer. Keep on sharing through progress !!!